Forense Computacional
Ensaios: Forense Computacional. Pesquise 861.000+ trabalhos acadêmicosPor: esdrasconde • 29/9/2014 • 5.827 Palavras (24 Páginas) • 511 Visualizações
FORENSE COMPUTACIONAL
________________________________________
in VIVO
Antes de iniciar uma análise, o perito deverá avaliar qual procedimento utilizar para a coleta dos dados. A escolha deverá levar em conta o cenário e as circunstâncias em que se encontram o sistema a ser analisado.
Alguns questionamentos devem ser feitos, como por exemplo:
O que deverá ser coletado?
O que coletar primeiro?
Vale a pena coletar tudo?
Será que não serão colocadas em risco todas as outras evidências só porque se pretende coletar algumas evidências em tempo de execução?
A forense in vivo consiste num conjunto de procedimentos que são utilizados para a coleta de dados sem que o sistema seja desligado. Nesta é priorizada a coleta dos dados mais voláteis para os menos voláteis, pois em sua maioria, os dados mais voláteis serão perdidos caso o sistema venha a ser deligado; diferente da post mortem forense, que consiste numa coleta de dados após o desligamento do sistema
Memória de periféricos
Alguns periféricos, como por exemplo impressora e vídeo, possuem as suas próprias memórias. Nelas podem existir informações que talvez não existam mais no sistema suspeito, ou seja, cabe ao perito tentar capturá-las . No caso da memória do vídeo por exemplo, numa situação em que o suspeito utilizou o terminal gráfico, este dado é de suma importância, pois o que aparece na tela poderá ser capturado utilizando o aplicativo “xwd” .
xwd -display 127.0.0.1:0.0 -root > mem_video.xwd
Este arquivo de saída contém a tela capturada e poderá ser visualizado utilizando o aplicativo zwud seguido do parâmetro in e o nome do arquivo. Outro aplicativo que lê este arquivo é o GIMP.
Memória Principal do Sistema
A memória principal contém todo tipo de informação volátil, como informações de processos,dados manipulados, dados ainda não salvos no disco e informações do SO.
Enviando informações da memória do servidor
dd if=/dev/mem | nc <ip> <porta>
dd if=/dev/kmem | nc <ip> <porta>
dd if=/dev/rswap | nc <ip> <porta>
dd if=/proc/kcore | nc <ip> <porta>
Recebendo sobre as conexões ativas
nc -l -p <porta> | tee mem.dd | md5sum $1 > mem.dd.md5
nc -l -p <porta> | tee kmem.dd | md5sum $1 > kmem.dd.md5
nc -l -p <porta> | tee rswap.dd | md5sum $1 > rswap.dd.md5
nc -l -p <porta> | tee kcore.dd | md5sum $1 > kcore.dd.md5
Tráfego de rede
A partir dos diagramas capturados, é possível reconstruir a comunicação entre o atacante e a máquina alvo, de modo que uma sequência de eventos possa ser estabelecida e comparada com outras evidência.
As evidências mais comuns que podem ser encontradas na análise de tráfego de rede são:
Endereço de IP inválido ou suspeito
Portas Suspeitas
Porta-destino que não poderia aceitar datagramas
Trafego não condizente com o padrão do protocolo e datagramas
Trafego TCP sem estabelecimento de conexão, sem flags ou numero de sequências inválidos
Tráfego intenso de datagramas incomuns à rede que deveriam estar desabilitados (ICMP)
Área de dados dos datagramas contendo comandos Linux
Requisições HTTP suspeitas.
Coleta de atividades de redes de conexões TCP Enviando informações sobre conexões de redes ativas
netstat -nap | tee conexoes.tcp | nc <ip> <porta>
Recebendo conexões ativas
nc -l -p <porta> | tee conexoes.tcp | md5sum $1 > conexoes.tcp.md5
Enviando separadamente conexões TCP
netstat -natp | tee conexoes.tcp | nc <ip> <porta>
Recebendo conexões ativas
nc -l -p <porta> | tee conexoes.tcp | md5sum $1 > conexoes.tcp.md5
Coleta de atividades de redes de conexões UDP
Enviando informações sobre conexões de redes ativas
netstat -naup | tee conexoes.tcp | nc <ip> <porta>
Recebendo conexões ativas
nc -l -p <porta> | tee conexoes.udp | md5sum $1 > conexoes.udp.md5
Coleta de atividades de redes de conexões Rawsockets Embora não seja muito comum que aplicativos de redes usem esse tipo de comunicação, o perito deve coletar atividades de aplicações que utilizam Raw Socket, que é comum em vários tipos de Mawares. Atividades de conexões RAW
netstat -nawp | tee conexoes.raw | nc <ip> <porta> <code>
**Recebendo informações de Conexões RAW**
<code> nc -l -p <porta> | tee conexoes.raw | md5sum $1 > conexoes.raw.md5
Coleta de atividades de Rotas
Atividades de rotas estáticas
route -n | tee -a info_rotas | nc <ip> <porta>
Recebendo informações de Rotas estáticas
nc -l -p <porta> | tee info_rotas | md5sum $1 > info_rotas.md5
Rotas do PROC
cat /proc/net/route | tee -a info_proc_rotas | nc <ip> <porta>
nc -l -p <ip> <porta> | tee info_proc_rotas | md5sum
...